Смешайте Чубакку с Декстером, получите LusyPOS


Были обнаружены рынки Darknet, продающие LusyPOS, новый тип вредоносного ПО для точек продаж, по своей природе аналогичный другим скребкам ОЗУ, используемым в некоторых из самых серьезных нарушений данных 2014 года..

Аналогичное вредоносное ПО использовалось в прошлом году в результате взлома Target, в результате которого были скомпрометированы 40 миллионов платежных карт, 70 миллионов записей и сотни миллионов долларов в виде сопутствующих расходов..

Совсем недавно в результате взлома Home Depot было скомпрометировано 56 миллионов карт, а также 53 миллиона адресов электронной почты в результате аналогичной атаки. В результате компания сталкивается с многочисленными судебными исками в США и Канаде..

Потенциальные киберпреступники, и почти любой другой, у которого в кармане 2000 долларов, могут сегодня забрать вредоносное ПО с подпольных карт-сайтов, не задавая вопросов..

LusyPOS, который на 4 МБ больше, чем другие варианты, был обнаружен реверс-инженерами CTBS в начале этого месяца. Ник Хоффман и Джереми Хамбл проанализировали «lusypos.exe» после того, как он появился на VirusTotal, и узнали, что он имеет много общего с двумя другими печально известными семействами вредоносных программ для POS – Chewbacca и Dexter..

Пара отметила, что код нового варианта содержит строки для команд и управления, обработки белого списка и сохранения ключа реестра, которые указывают на то, что он «мог принять сигнал от Декстера». Также было отмечено, что код очистки ОЗУ аналогичен тому, который был найден в других аналогичное вредоносное ПО и метод проверки того, что очищенные данные являются действительными данными отслеживания кредитной карты (алгоритм Луна, стандартное средство проверки номеров кредитных карт).

Как и Chewbacca, LusyPOS также использует сеть TOR, которая обещает анонимность для контроллеров, которые могут использовать ее для доступа к информации через удаленный сервер..

Технически говоря, у POS-машины нет веских причин для общения с TOR, и этого нельзя допускать. С точки зрения соответствия Стандарту безопасности данных индустрии платежных карт (PCI DSS), такая связь должна быть прямо запрещена Хоффманом, который сказал: «Большинство аудитов PCI пытаются заблокировать такого рода действия, но в реализации, похоже, есть дьяволы, которые допускают такие вредоносные программы, как чтобы быть успешным ». Поэтому такая деятельность является хорошим средством обнаружения наличия вредоносных программ POS в системе – если обнаружены подозрительные доменные имена, например, с доменом верхнего уровня .onion, их следует немедленно заблокировать..

Когда LusyPOS был первоначально представлен VirusTotal 30 ноября, он был обнаружен только 7 из его 55 AV-движков (и два из них отметили его только из-за использования TOR). Теперь, две недели спустя, это все еще обнаружено только 27 из них.

Хоффман и Хамбл заключили: «Это всего лишь царапина на поверхности нового семейства вредоносных программ. Нам будет интересно наблюдать за его развитием в ближайшие пару лет и отслеживать его прогресс »..

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map